Investigadores de ESET descubrieron nuevas y actualizadas versiones del troyano DanaBot que presentan un protocolo de comunicación con el C&C más complejo y ligeras modificaciones tanto en su arquitectura como en los ID de las campañas.
El troyano modular de rápida evolución conocido como Danabot, ha sufrido cambios adicionales, y en su última versión cuenta con un protocolo de comunicación completamente nuevo. El protocolo, introducido a DanaBot a fines de enero de 2019, añade varias capas de cifrado a la comunicación con el C&C de DanaBot. Además de los cambios en la comunicación, la arquitectura de DanaBot y los ID de la campaña también han sido modificados.
La Evolución de DanaBot
Desde que fue descubierto en mayo de 2018 como parte de una campaña de spam dirigida a Australia, se ha visto mucha actividad de DanaBot; apareciendo en campañas de spam malicioso en Polonia, Italia, Alemania, Austria y Ucrania, así como también en los Estados Unidos. En las campañas europeas se ha podido ver cómo el troyano ha expandido sus capacidades con nuevos plugins y funcionalidades para el envío de spam.
ESET señala que, El 25 de enero de 2019 "notamos en la telemetría de ejecutables relacionados a DanaBot inusuales. Luego de inspeccionarlos, pudimos revelar que estos binarios eran, de hecho, variantes de DanaBot, pero que utilizaban un protocolo de comunicación diferente para comunicarse con el servidor C&C.
Desde el 26 de enero de 2019, los operadores de DanaBot dejaron de crear binarios con el antiguo protocolo. Y según ESET la nueva versión está siendo distribuidas en dos escenarios:
Como “actualizaciones” enviadas a víctimas de DanaBot existentes.
A través de spam malicioso en Polonia.
El Nuevo Protocolo de Comunicación
En el protocolo de comunicación utilizado antes del 25 de enero, los paquetes no estaban cifrados de ninguna manera, como se puede apreciar en la Figura 1.
Figura 1 – Captura del paquete que muestra el antiguo protocolo con datos en texto plano.
Siguiendo con los últimos cambios, DanaBot utiliza los algoritmos de cifrado AES y RSA en sus comunicaciones con el C&C. El nuevo protocolo de comunicación es complejo, ya que utiliza varias capas de cifrado. En la Figura 2 se describe el proceso de cifrado.
Figura 2 – Un diagrama del nuevo protocolo de comunicación de DanaBot.
Estos cambios rompen firmas existentes basadas en la red y hacen que sea más difícil escribir nuevas reglas para los Sistemas de Prevención y Detección de Intrusos (IDPS, por sus siglas en inglés). También, sin acceso a las claves RSA correspondientes, es imposible decodificar paquetes enviados o recibidos; por lo tanto, archivos PCAP de sistemas de análisis basados en la nube (como ANY.RUN) se vuelven inutilizables para los investigadores.
Figura 3 – Estructura de un paquete con el nuevo protocolo de comunicación.
Nota: Para mayor información técnica haga clic aquí con la investigación completa.
Conclusión
En 2018, vimos a DanaBot expandirse tanto en su forma de propagarse como en sus funcionalidades. Durante el inicio del 2019 se ha visto que el troyano ha sido sometido a cambios “internos”, lo cual indica un desarrollo activo por sus autores. Las últimas actualizaciones sugieren que los autores están esforzándose para evadir la detección a nivel de red, y muy posiblemente prestando atención a las investigaciones publicadas y realizando cambios para no ser detectado.
Fuente: ESET